Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Infrastructure IT Systèmes IT Applications Processus métier © ITACS Training Au

Infrastructure IT Systèmes IT Applications Processus métier © ITACS Training Auteurs: Peter R. Bitterli • Jürg Brun • Thomas Bucher • Brigitte Christ • Bernhard Hamberger • Michel Huissoud Daniel Küng • Andreas Toggwyler • Daniel Wyniger • Georges Berweiler (revue de la traduction française) Guide d’audit des applications informatiques Une approche inspirée des audits financiers Novembre 2008 1 GUIDE D’AUDIT DES APPLICATIONS INFORMATIQUES Guide d’audit des applications informatiques Novembre 2008 2 Cet ouvrage est le fruit des réflexions et des expériences des membres de la Commission informatique de la Chambre fidu- ciaire suisse. Travaillant dans les principaux cabinets d’audit comptables et financiers suisses ou dans d’importants services d’audit interne, ceux-ci ont voulu saisir, structurer et standardiser l’approche qui est la leur dans le cadre de l’audit des comptes annuels.Ce document a vocation à servir de passerelle entre les auditeurs financiers et les auditeurs informatiques et devrait renforcer l’indispensable cohérence entre les travaux de ces deux disciplines. Ce texte reflète l’expérience et la réflexion de ses auteurs. Il est publié avec l’aimable autorisation de la commission informatique de la Chambre fiduciaire suisse. Copyright ISACA Switzerland Chapter, 2008. Auteurs: Peter R. Bitterli Jürg Brun Thomas Bucher Brigitte Christ Bernhard Hamberger Michel Huissoud Daniel Küng Andreas Toggwyler Daniel Wyniger Georges Berweiler (revue de la traduction française) Graphiques et mise en page: Felice Lutz, ITACS Training AG 3 GUIDE D’AUDIT DES APPLICATIONS INFORMATIQUES Table des matières Table des matières 3 Présentation générale et introduction 4 Analyse du bilan et du compte de résultats 7 Identification des processus métier et des flux de traitement des données 9 Identification des applications de base et des principales interfaces IT pertinentes 13 Identification des risques et des contrôles clés 18 Tests de cheminement 22 Evaluation de la conception des contrôles 24 Evaluation du fonctionnement des contrôles 28 Appréciation globale 32 Annexe 1 - Contrôles liés aux applications 36 Annexe 2 - Glossaire 38 4 Présentation générale et introduction But de l’approche Dans le cadre des procédures d’audit orientées processus et basées sur l’utilisation d’applications informatiques, il est essentiel de prendre en compte tous les do- maines importants, y compris les des domaines IT spécifiques ayant une influence significative sur l’objectif de contrôle de l’auditeur. Pour y parvenir une approche de contrôle intégrée (auditeur et auditeur informatique) est nécessaire. L’absence de procédure concertée entre auditeurs et auditeurs informatiques (auditeurs IT) constitue à cet égard un risque élevé. . Le présent document décrit, dans le cadre des procédures d’audit orientées pro- cessus, une méthode de vérification et une approche intégrée de l’audit des con- trôles applicatifs destinées à prévenir ce risque d’audit. Etendue et délimitation La méthode présentée se limite à la procédure de contrôle des applications IT au sein d’un processus métiers. Les domaines connexes sont abordés dans la mesure où ils ont un lien avec la procédure de contrôle, mais ils ne seront pas traités en détail. Il s’agit par exemple des contrôles par échantillonnage, des qualifications des auditeurs et des «contrôles IT généraux» (vérifications indépendantes d’une application). L’utilisation de l’approche n’est pas limitée à l’audit des critères réglementaires; la procédure a été conçue sciemment de manière plus générique afin de convenir également à d’autres vérifications (par ex. vérifications de conformité). Utilisateurs Les exemples et la description de la procédure se réfèrent à l’audit des états fi- nanciers. Compte tenu de son caractère générique, l’approche de contrôle est utilisable aussi bien par l’auditeur financier que par l’auditeur IT. L’audit des états financiers d’une entreprise représente pour les auditeurs financiers un nombre de défis de plus en plus grand; d’un côté l’évolution rapide des normes comptables, de l’autre l’automatisation croissante de la préparation des états financiers au moyen de systèmes d’information toujours plus complexes. Ce deuxième aspect est le sujet qui est dé- veloppé ci-après. La qualité des informations financières dépend dans une large mesure de la qualité des processus métiers et des flux de traitement des données s’y rapportant. Il est donc logique que l’auditeur concentre son travail sur ces processus métiers et intègre le contrôle des applications correspondantes dans son approche d’audit. L’approche présentée ci-après est destinée à aider l’auditeur financier à développer une approche d’audit intégrée et à recentrer la procédure d’audit de manière plus efficace et plus ciblée sur les risques, en intégrant l’audit des processus métiers pertinents et des applications correspondantes. L’approche commence donc avec l’analyse des états financiers de l’entreprise et se termine par l’appréciation de l‘impact des résultats d’audit sur ces états financiers. 5 GUIDE D’AUDIT DES APPLICATIONS INFORMATIQUES Il est judicieux d’analyser les états financiers afin d’orienter les procédures d’audit des processus de l’entreprise et des applications correspondantes sur les tests des comptes fi- nanciers significatifs et sur les risques d’audit s’y rapportant. Cette analyse lie les principales positions comptables aux processus métiers pertinents ou, plus concrètement, déter- mine les flux de traitement des données à l’origine des prin- cipales positions comptables et des applications de base qui supportent ces flux de traitement des données. Une fois les applications de base identifiées, l’auditeur s’intéresse à la qualité du système de contrôle. Il détermine d’abord si la conception du système de contrôle est adaptée à la situation de risque actuelle des processus de l’entreprise et enfin si les contrôles prévus sont implémentés et sont efficaces. L’évaluation du système de contrôle des processus métiers pris en compte dans le cadre de l’audit permet à l’auditeur de savoir s’il peut s’appuyer sur les procédures de production des états financiers et, le cas échéant, de définir l’étendue des procédures d’audit substantives supplémentaires qu’il doit effectuer. La présente méthode ne traite pas, de manière explicite, les «contrôles IT généraux». L’auditeur doit évaluer et tester systé- matiquement les contrôles IT généraux afin de définir une stratégie de test adaptée aux contrôles applicatifs. Les contrôles IT généraux sont dans une large mesure déterminants pour savoir si un contrôle applicatif, dont la conception est considérée comme effective, a fonctionné pendant toute la période d’audit, ou si l’auditeur doit l’évaluer explicitement, par exemple par le biais de tests directs (par ex. procédures de validations détaillées). La méthode de contrôle repose sur un modèle à quatre niveaux. Ce modèle est présenté de manière schématique et simpli- fiée ci-après. Dans la réalité, les interactions peuvent être beaucoup plus complexes, la schématisation permet simplement de comprendre l’approche de contrôle. Appréciation globale Evaluation du fonctionnement du contrôle Evaluation de la conception du contrôle Test de cheminement Identiﬁcation des risques et contrôles clés 4 5 6 7 8 Identiﬁcation des applications clés et interfaces Identiﬁcation des processus opérationnels et ﬂux de données Analyse du bilan et du compte de résultats 1 2 3 Les 8 étapes de la méthode de vérification: 6 Délimitation de l’approche de contrôle Contrôles d’applications IT • Intégralité • Exactitude • Validité • Autorisation • Séparation des fonctions Contrôles IT généraux • Environnement de contrôle IT (polices, directives) • Développement de programmes • Modiﬁcations IT • Exploitation IT • Gestion des accès • Sécurité des systèmes • Sécurité des données non couvert par la méthode couvert par la méthode Processus métier / transactions Applications ﬁnancières Middleware / base de données Systèmes d’exploitation / réseau La figure ci-dessus montre, sous forme simplifiée, le modèle en couches utilisé dans la présente approche de contrôle. Chacune des quatre couches représente un type de processus et de ressource. • La couche supérieure (bleue) contient les principaux processus (manuels) de l’entreprise présentés typiquement par domaines d’activités et subdivisés en sous-processus et en activités individuelles. • La deuxième couche (rouge) contient les éléments automatisés des processus de l’entreprise, les applications IT à proprement parler. A l’exception peut-être des PME de petite taille, la majorité des opérations commerciales dans toutes les entreprises est traitée à l’aide d’applications IT. • La troisième couche (jaune) contient les systèmes IT de base. Ce terme recouvre une grande diversité de plates-formes possibles supportant les applications de la deuxième couche. Exemple: systèmes de gestion de base de données (par ex. Oracle, DB2), composants de base d’applications intégrées (par ex. SAP Basis, Avaloq, …) ou des systèmes plus techniques (par ex. Middleware). • La couche inférieure (verte) contient les éléments d’infrastructure informatique. Pour l’essentiel, cette couche contient les éléments matériels (Mainframe, systèmes périphériques, serveurs) ainsi que les composants du réseau et les systèmes de surveillance technique y relatifs. L’approche présentée dans ce document traite principalement des deux couches supérieures (signalées par une flèche verte) autrement dit, des contrôles liés aux applications au sein des processus métiers et des applications sous-jacents. Les deux dernières couches, l’infrastructure IT et les processus IT sous-jacents (signalés par une flèche rouge) sont bien entendu importants du point de vue de l’auditeur mais ne sont pas traités dans le cadre présent. 7 GUIDE D’AUDIT DES APPLICATIONS INFORMATIQUES Vue d’ensemble Procédure Infrastructure IT g © ITACS Training Systèmes IT Applications Processus métier RISQUE RISQUE RISQUE RISQUE Assertions dans les états ﬁnanciers, par ex.: Authenticité Évaluation Intégralité Droits et obligations Principaux comptes par ex. débiteurs Contenu et objectif Nous considérons que l’objectif de contrôle est la conformité de la tenue de uploads/Science et Technologie/ guide-audit-applications.pdf